FruityArmor攻擊中使用了Windows漏洞

2023-12-11 14:10:58 2

    微軟發布一款最新的安全補丁後，卡巴斯基實驗室的專家終於能夠解釋一個名為FruityArmor的網絡攻擊組織是如何使用一種Windows零日漏洞實施針對性攻擊的。FruityArmor使用的零日漏洞為CVE-2016-3393，並利用這種漏洞繞過沙盒技術，幫助攻擊者在受害者計算機中維持較高的權限，遠程執行惡意代碼。CVE-2016-3393漏洞是卡巴斯基實驗室今年利用專門被設計用於檢測和攔截漏洞的技術所檢測到的第四個零日漏洞。

    微軟公司在10月11日發布了一個修復軟體關鍵漏洞的補丁。之後，卡巴斯基實驗室的專家發表了一篇關於FruityArmor攻擊組織如何使用這種漏洞的報告。該攻擊組織有些不同尋常，因為其攻擊平臺是用一種被稱為PowerShell的Windows自動化和腳本語言所編寫的。

    一旦進入目標機器，攻擊者通常會依靠瀏覽器漏洞執行惡意代碼。但是，由於很多瀏覽器都內置沙盒，能夠隔離和安全地啟動新的應用，所以瀏覽器漏洞利用程序很少能夠依靠自身提供攻擊者所需要的訪問權限。所以，FruityArmor採用了EoP（權限提升）漏洞利用程序輔助瀏覽器利用程序，讓攻擊者可以繞過沙盒。而CVE-2016-3393就是一種針對Windows的EoP（權限提升）漏洞利用程序。

    漏洞利用程序被成功部署後，會以較高的權限執行第二階段的惡意負載，運行高級和動態注釋格式的PowerShell腳本，連接到攻擊者的命令和控制伺服器。之後，惡意軟體就準備接收進一步的指示，下載額外的惡意模塊。

    「儘管有趨勢顯示，越來越多的攻擊者開始使用現成的惡意軟體，但未修補的零日漏洞仍然非常搶手，對針對性威脅攻擊者來說非常寶貴。對這類漏洞的需求不可能短時間內降低，所以安全研究人員要繼續尋找這些漏洞，找到能夠檢測這些漏洞的保護技術，同時軟體開發商也要快速響應，開發出修補程序。我們共同分擔著保護客戶的責任，」卡巴斯基實驗室安全專家Anton Ivanov說。

卡巴斯基實驗室產品將CVE-2016-3393漏洞利用程序檢測為：

HEUR:Exploit.Win32.Generic

PDM:Exploit.Win32.Generic

    這種漏洞利用程序是由卡巴斯基實驗室產品的自動漏洞入侵防護模塊檢測到的。卡巴斯基實驗室所有針對Windows平臺的旗艦安全解決方案都包含這一模塊，而且該模塊還會不斷更新。這種模塊包含最新的技術，能夠檢測高級威脅，被用於檢測利用軟體漏洞進行攻擊的惡意軟體，包括利用零日漏洞的惡意軟體。該模塊會監控多種應用，包括最常被攻擊的應用，並且會對任何可疑行為進行額外的安全檢查。

    卡巴斯基實驗室在2016年檢測到的其他三個零日漏洞中有兩個為Adobe Flash漏洞，分別為CVE-2016-1010 和CVE-2016-4171，另一個則為Windows權限提升漏洞——CVE-2016-0165.